Viji
@Viji
Junior DevOps Engineer

Как организовать доступ к SQS queue из SNS?

Привет всем,

вопрос 1-й. Как известно можно позволить SNS посылать сообщения в SQS, если мы приделаем к SQS queue следующие IAM permission:

{
  "Version": "2012-10-17",
  "Id": "arn:aws:sqs:eu-west-1:123456789012:communications-email-queue/SQSDefaultPolicy",
  "Statement": [
    {
      "Sid": "Sid456724056456",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:eu-west-1:123456789012:communications-email-queue",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:sns:eu-west-1:123456789012:ias-usermanagement"
        }
      }
    }
  ]
}


А можно ли это же сделать через какую-ту другую Policy, например прикрепив ее к SNS (topic) и дав ей разрешение писать в SQS?
  • Вопрос задан
  • 29 просмотров
Пригласить эксперта
Ответы на вопрос 1
inoise
@inoise
Solution Architect, AWS Certified, Serverless
это работает не так) policy и роли не крепятся к ресурсу. в policy есть Principal - кому можно, Action - что можно (или нельзя) и Resource - с каким ресурсом производится действие. Ну и условие прикреплено - откуда трафик.

По факту при запросе просто валидируются полиси для отправной и конечной точки трафика
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы